【Log4j2に対する無報告】中国当局、アリババのクラウド子会社との情報共有提携停止 [香味焙煎★]

**香味焙煎 ★** · 2021/12/22(水) 19:13:56.25

［北京／香港　２２日　ロイター］ - 中国の規制当局は２２日、電子商取引（ＥＣ）大手アリババ・グループのクラウドサービス子会社「阿里雲（アリババ・クラウド・コンピューティング）」との情報共有パートナーシップを停止した。
サイバーセキュリティー上の脆弱性を迅速に報告・対処しなかったことを非難している。政府系メディアが伝えた。

２１世紀経済報道が工業情報省による最近の通知を基に伝えたところによると、阿里雲は人気の高いオープンソースのロギングフレームワーク「ＡｐａｃｈｅＬｏｇ４ｊ２」の脆弱性を中国当局に直ちに報告しなかった。

これを受けて同省は、サイバーセキュリティーの脅威や情報共有プラットフォームに関する阿里雲との協力パートナーシップを一時停止するとともに、６カ月後に再評価し、同社の内部改革に応じて復活させることにしたという。

今回の措置は、国家安全保障の名の下に主要なオンラインインフラやデータの管理を強化しようとする中国当局の意図を浮き彫りにしている。中国政府は国有企業に対し、来年までにデータをアリババや騰訊控股（テンセント・ホールディングス）といった民間事業者から国が後押しするクラウドシステムに移行するよう求めている。

また、世界中の企業や政府の間でパニックを引き起こした脆弱性に対する中国当局の懸念も浮き彫りにした。「ＡｐａｃｈｅＬｏｇ４ｊ２」はＪａｖａベースのツールで、企業のシステムやウェブアプリケーションで広く使われている。

工業情報省は先週の通知で「この脆弱性は機器の遠隔操作につながる可能性があり、これは機密情報の盗難や機器のサービス阻害といった重大な被害につながる可能性がある。リスクの高い脆弱性だ」と指摘した。

通知文によると、阿里雲は最近、「ＡｐａｃｈｅＬｏｇ４ｊ２」コンポーネントにリモートコード実行の脆弱性を発見し、米国の「Apache Software Foundation」に通知。同省はその後、阿里雲からではなく、第三者からこの問題に関する報告を受けたという。

阿里雲は今回の停止措置についてコメントを控えた。

ロイター
https://jp.reuters.com/article/china-alibaba-idJPKBN2J10DD

**ニューノーマルの名無しさん** · 2021/12/22(水) 19:15:51.26

>>1
うちの会社の取引先

1 Log4jはv1.*系だから問題なし
2 Log4net使ってるから問題なし

ぶっ飛ばしてやりたいんだが
もっと問題じゃねえかよと

**ニューノーマルの名無しさん** · 2021/12/22(水) 19:16:09.69

どうだだからTPPに入れろ！

という詐欺

**ニューノーマルの名無しさん** · 2021/12/22(水) 19:16:12.09

情報共有パートナーシップ
とは

**ニューノーマルの名無しさん** · 2021/12/22(水) 19:19:08.10

中共と情報共有パートナーシップてさー

ヤバイやつやろ

**ニューノーマルの名無しさん** · 2021/12/22(水) 19:23:15.36

＞阿里雲（アリババ・クラウド・コンピューティング）
「ババ」は、どこに行ったのだろう。

**ニューノーマルの名無しさん** · 2021/12/22(水) 19:23:22.44

なんでv2だけv1はいいの？

**ニューノーマルの名無しさん** · 2021/12/22(水) 19:39:22.44

セキュリティホールを公開したことに激怒した

**ニューノーマルの名無しさん** · 2021/12/22(水) 19:42:20.77

バージョン1には問題の脆弱性がない
でもサポート切れてるから最新版使った方がいいよってレベル

**ニューノーマルの名無しさん** · 2021/12/22(水) 20:00:45.40

政府がクラウドの情報を吸い上げてるってことならマジでキモい

**ニューノーマルの名無しさん** · 2021/12/22(水) 20:01:17.09

>>7
高度化しようとして余計な機能を追加したから。目的を絞ればいいのに何でも出来るようにしたくなるんだろうな。

**ニューノーマルの名無しさん** · 2021/12/22(水) 20:03:25.35

コロナウイルスの感染拡大を迅速に報告・対処しなかったくせに

**ニューノーマルの名無しさん** · 2021/12/22(水) 20:05:39.16

国家情報法が中国に在る限り、中国を起点としたビジネスは成り立たないなぁ。

**ニューノーマルの名無しさん** · 2021/12/22(水) 20:20:41.58

外部からはリバースプロキシ経由でwebサーバ
webサーバからは外部へのrouting無しにしとけ

**ニューノーマルの名無しさん** · 2021/12/22(水) 20:22:19.34

>>2
だったら、Log4j 2.17.0にバージョンアップする工数分の金払えよ。
こっちは客が承認した使用に基づいて構築してるんだ。

**ニューノーマルの名無しさん** · 2021/12/22(水) 21:13:09.50

俺だけの物にしたかったのに公開されたら…

**ニューノーマルの名無しさん** · 2021/12/22(水) 21:22:10.50

>>2
ログfornetだめなの？

**ニューノーマルの名無しさん** · 2021/12/22(水) 21:26:09.34

きんも～

**ニューノーマルの名無しさん** · 2021/12/23(木) 00:21:28.71

>>9
v1も脆弱性ありなんでな
知ったかすんならGithubくらい見ようや

**ニューノーマルの名無しさん** · 2021/12/23(木) 00:22:20.15

>>15
こっちってどっちだよww

**ニューノーマルの名無しさん** · 2021/12/23(木) 00:35:43.35

>>19
1系はデフォの設定で使ってる分には今回の脆弱性の影響は受けないな。
あのオプション有効にしてるのは稀じゃね。

>>20
すまんね、SIerの人間だ。
要件を客が承認して、仕様凍結して、受入試験して
検収してんのに後から金も払わず文句しかつけてこない
客（大体天下り団体）に嫌気が差しててね。

航空局だと納品後自前のテスト環境で自分達で1年試験して
そこでバグや使用誤り見つけてくれるんだよ。
もちろん予算の問題もあるがユーザが金出したから後は知らねえよ、
みたいに投げっぱなしで良いシステムはできないと声を大にして言いたい。

まあ一番のガンはそれを容認する経営層と営業だがな。

**ニューノーマルの名無しさん** · 2021/12/23(木) 07:33:37.57

>>21
出来損ないの底辺職じゃーん
もっとも使えない人種w
話が通じない、お客の要望を汲み取れない、自分で書いてるソースの意味も分からない

…その割に金寄越せ！金寄越せ！だけはいっちょ前

**ニューノーマルの名無しさん** · 2021/12/23(木) 15:59:33.68

なにしろヤバい

**ニューノーマルの名無しさん** · 2021/12/23(木) 17:47:24.44

>>1
悪用しそこねたアル
とっとと教えなかったアリババはお仕置きアル

**ニューノーマルの名無しさん** · 2021/12/25(土) 00:18:45.58

>>16
そういうことだよな。
独り占めして諜報活動に利用したかったんやね。

**ニューノーマルの名無しさん** · 2021/12/25(土) 14:01:59.31

倫理観の無い奴は何やっても無理

**ニューノーマルの名無しさん** · 2021/12/25(土) 14:44:54.51

>中国政府は国有企業に対し、来年までにデータをアリババや騰訊控股（テンセント・ホールディングス）といった民間事業者から国が後押しするクラウドシステムに移行するよう求めている。

怖すぎ
こんなんされたら中国のサービスも製品も何も使えなくなる

**ニューノーマルの名無しさん** · 2021/12/26(日) 16:42:01.16

うん、使わないほうがいいよね

**ニューノーマルの名無しさん** · 2021/12/27(月) 07:44:07.01

>>2
Log4net は一度サポート止まったが、再開してるし
以前問題になったセキュリティ問題も塞がってるぞ